كشف تحليل مشترك جديد من “بروفبوينت” و”ثريت راي” أن مجموعة القرصنة المعروفة باسم “بيتر” (Bitter) تعمل على الأرجح نيابة عن جهاز استخبارات هندي لجمع معلومات تلائم مصالح الحكومة الهندية. وتُعرف المجموعة أيضاً بأسماء متعددة مثل APT-C-08 وHazy Tiger وTA397.
وتشير الأدلة إلى أن “بيتر” مجموعة متطورة ومدعومة حكومياً، تواصل توسيع نطاق عملياتها مع تطوير أدواتها باستمرار. يُنصح المؤسسات المستهدفة بتعزيز إجراءات الحماية ضد هجمات التصيد المستهدفة ومراقبة أي نشاط مشبوه خلال ساعات العمل الهندية.
وكانت المجموعة تركز تاريخياً على كيانات في جنوب آسيا، لكنها وسعت مؤخراً نطاق عملياتها ليشمل:
-
تركيا (باستخدام برمجيات WmRAT وMiyaRAT)
-
الصين
-
السعودية
-
أمريكا الجنوبية
أساليب الهجوم المميزة
تعتمد المجموعة على:
-
رسائل التصيد المستهدفة المرسلة من:
-
مزودي بريد إلكتروني مثل 163[.]com و126[.]com وProtonMail
-
حسابات مخترقة تابعة لحكومات باكستان وبنغلاديش ومدغشقر
-
-
انتحال هويات حكومية من:
-
الصين
-
مدغشقر
-
موريشيوس
-
كوريا الجنوبية
-
الأدوات والتقنيات المتطورة
تمتلك المجموعة ترسانة متقدمة من البرمجيات الخبيثة تشمل:
-
BDarkRAT: حصان طروادة يتيح التحكم الكامل بالنظام
-
KugelBlitz: أداة لتحميل شفرات ضارة
-
KiwiStealer: لسرقة الملفات الحساسة
-
ORPCBackdoor: للاتصال بخوادم التحكم عن بُعد
أنماط عمل مثيرة للاهتمام
لاحظ الباحثون أن نشاط المجموعة يتبع:
-
ساعات العمل الرسمية بالتوقيت الهندي (من الاثنين إلى الجمعة)
-
يتوافق هذا مع توقيت تسجيل النطاقات وإصدار شهادات الأمان
الأهداف والغايات
تركز المجموعة على:
-
الحكومات
-
الكيانات الدبلوماسية
-
منظمات الدفاع
-
جمع معلومات استخباراتية حول السياسة الخارجية والشؤون الجارية
